이상치 탐지 기법을 이용한 인터넷 전화 서비스에서의 과금 우회 공격 탐지 방법
Method for detecting toll fraud attack in Voice over Internet Protocol service using novelty detection technique
특허 요약
본 발명은 인터넷 전화 서비스에서의 과금 우회 공격 탐지 방법에 관한 것으로서, 과거의 과금 우회 공격(toll fraud attack) 정보가 기록된 히스토리와, 과거의 통화 내역 기록(call detail records, CDRs)을 이용하여 탐지 모델의 입력 변수를 생성하는 단계, 생성된 입력 변수를 사용하여 단일 이상치 탐지(novelty detection) 알고리즘을 이용한 개별 과금 우회 공격 탐지 모델을 구축하는 단계, 상기 구축된 개별 과금 우회 공격 탐지 모델들을 결합하여 앙상블(ensemble) 이상치 탐지 모델을 구축하는 단계 및 새로운 통화 내역 기록을 상기 앙상블 이상치 탐지 모델에 적용하여 과금 우회 공격 여부를 판단하는 단계를 포함한다. 본 발명에 의하면, 이상치 탐지 기법을 활용하여 인터넷 전화 서비스에서 과금 우회 공격을 탐지함으로써, 기존의 전문가의 지식에 의존한 규칙 기반 탐지 기법에 비해 우수한 과금 우회 공격의 탐지 성능을 나타낼 수 있으며, 정확도를 향상시킬 수 있는 효과가 있다.
청구항
번호청구항
1

인터넷 전화 서비스(Voice over Internet Protocol, VoIP)에서의 과금 우회 공격 탐지 방법에 있어서,과거의 과금 우회 공격(toll fraud attack) 정보가 기록된 히스토리와, 과거의 통화 내역 기록(call detail records, CDRs)을 이용하여 탐지 모델의 입력 변수를 생성하는 단계;생성된 입력 변수를 사용하여 단일 이상치 탐지(novelty detection) 알고리즘을 이용한 개별 과금 우회 공격 탐지 모델을 구축하는 단계;상기 구축된 개별 과금 우회 공격 탐지 모델들을 결합하여 앙상블(ensemble) 이상치 탐지 모델을 구축하는 단계; 및새로운 통화 내역 기록을 상기 앙상블 이상치 탐지 모델에 적용하여 과금 우회 공격 여부를 판단하는 단계를 포함하되,상기 과거의 통화 내역 기록은 발신자 전화번호, 수신자 전화번호, 서비스 제품 코드, 과금 부과 그룹, 통화 타입, 연결실패 코드를 포함하는 명목형(nominal) 정보와, 대기시간 및 통화 시간을 포함하는 연속형(continuous) 정보를 포함하는 것임을 특징으로 하는 인터넷 전화 서비스에서의 과금 우회 공격 탐지 방법.

2

삭제

3

청구항 1에 있어서,상기 탐지 모델의 입력 변수를 생성하는 단계에서, 상기 과거 과금 우회 공격 정보가 기록된 히스토리를 이용하여, 상기 명목형 정보 각각에 대한 과금 우회 공격 발생 빈도를 산출하는 방식으로 상기 탐지 모델의 입력 변수를 생성하는 것을 특징으로 하는 인터넷 전화 서비스에서의 과금 우회 공격 탐지 방법.

4

청구항 1에 있어서,상기 앙상블(ensemble) 이상치 탐지 모델을 구축하는 단계에서, 상기 앙상블 이상치 탐지 모델은 개별 이상치 탐지 모델들에 대하여 다수결 원칙을 적용하여 구축하고, 상기 과금 우회 공격 여부를 판단하는 단계에서, 상기 앙상블 이상치 탐지 모델을 적용하여 각 개별 이상치 탐지 모델의 과금 우회 공격 여부 판단 결과를 종합하여, 과금 우회 공격으로 판단한 개별 이상치 탐지 모델의 수가 그렇지 않은 개별 이상치 탐지 모델의 수보다 많으면 과금 우회 공격으로 판단하는 것을 특징으로 하는 인터넷 전화 서비스에서의 과금 우회 공격 탐지 방법.

5

청구항 1에 있어서,상기 과금 우회 공격 여부를 판단하는 단계에서, 새로운 통화 내역 기록을 상기 앙상블 이상치 탐지 모델에 적용하여 나온 이상치 점수가 미리 정해진 기준치 이상이면 과금 우회 공격으로 판단하고, 그렇지 않으면 정상적인 통화 시도로 판단하는 것을 특징으로 하는 인터넷 전화 서비스에서의 과금 우회 공격 탐지 방법.

6

청구항 5에 있어서,상기 앙상블(ensemble) 이상치 탐지 모델을 구축하는 단계에서, 상기 앙상블 이상치 탐지 모델은 개별 이상치 탐지 모델들에 의해 산출된 이상치 점수를 산술적으로 결합하는 방식으로 구축하고, 상기 과금 우회 공격 여부를 판단하는 단계에서, 상기 앙상블 이상치 탐지 모델을 적용하여 각 개별 이상치 탐지 모델에서 산출된 이상치 점수에 대하여 산술 평균을 구하고, 산술 평균이 미리 정해진 기준치 이상이면 과금 우회 공격으로 판단하고, 그렇지 않으면 정상적인 통화 시도로 판단하는 것을 특징으로 하는 인터넷 전화 서비스에서의 과금 우회 공격 탐지 방법.

7

청구항 1에 있어서,상기 단일 이상치 탐지 알고리즘은 가우시안 분포 추정(Gaussian density estimator)인 것임을 특징으로 하는 인터넷 전화 서비스에서의 과금 우회 공격 탐지 방법.

8

청구항 1에 있어서,상기 단일 이상치 탐지 알고리즘은 혼합 가우시안(Mixture of Gaussian) 분포 추정인 것임을 특징으로 하는 인터넷 전화 서비스에서의 과금 우회 공격 탐지 방법.

9

청구항 1에 있어서,상기 단일 이상치 탐지 알고리즘은 파즌 윈도우(parzen window)인 것임을 특징으로 하는 인터넷 전화 서비스에서의 과금 우회 공격 탐지 방법.

10

청구항 1에 있어서,상기 단일 이상치 탐지 알고리즘은 k-인접 이웃(k-Nearest Neighbor) 기반 이상치 탐지인 것임을 특징으로 하는 인터넷 전화 서비스에서의 과금 우회 공격 탐지 방법.

11

청구항 1에 있어서,상기 단일 이상치 탐지 알고리즘은 K-군집 클러스터링(K-Means Clustering) 기반 이상치 탐지인 것임을 특징으로 하는 인터넷 전화 서비스에서의 과금 우회 공격 탐지 방법.

도면대표도면